Risiko- og Sårbarhetsanalyse (ROS)

Avdekke sårbarheter og konsekvens i forhold til relevante trusler og eksisterende sikkerhetstiltak

En Risiko- og sårbarhetsanalyse kan utføres av en enkelt, eller samtlige kritiske tjenester og prosesser i virksomheten. Risikostyring og vurdering må foretas i forbindelse med alle endringer som kan påvirke enheten. Risiko- og sårbarhetsanalyse må for de fleste virksomheter gjennomføres årlig i tillegg til løpende risikostyring. ROS og risikostyring handler om å definere og vurdere de mest relevante truslene mot virksomhetens definerte kritiske verdier. For så å gjøre en kvalifisert vurdering av sannsynlighet og konsekvens ved at en trussel utnytter en sårbarhet og en uønsket hendelse oppstår. Basert på en grundig analyse kan virksomheten foreta kvalifiserte valg av riktige forebyggende tiltak. Risikovurdering og risikostyring må foretas løpende i forhold til alle endringer som kan påvirke sannsynlighet for, og konsekvens av at en sikkerhetshendelse oppstår.

Hvorfor og hvor ofte bør man gjennomføre Risiko- og Sårbarhetsanalyse?

• Finansielle selskaper som må følge «IKT forskriften» er pålagt å kontinuerlig jobbe med risiko styring og må minst gjennomføre en årlig Risiko- og Sårbarhetsanalyse.
• Virksomheter som lagrer sensitive personopplysninger er pålagt av personopplysningsloven å sikre informasjonen tilstrekkelig, med planlagte og systematiske tiltak.
• Alle virksomheter er pålagt å kjenne kravene som stilles i forhold til informasjonen man behandler. Og på generelt grunnlag bør man gjennomfører ROS årlig, samt jobbe kontinuerlig med risiko- vurdering og styring.

• Alle som behandler sensitiv informasjon, og som er lovpålagt gjennomføring av ROS. f.eks. alle virksomheter som behandler sensitive personopplysninger og/eller må følge «IKT forskriften»
• Alle som ønsker å etterleve ISO 27000 må gjennomføre kontinuerlig risikovurdering
• Virksomheter som ønsker en kvalifisert vurdering av eksisterende sikkerhetstiltak, og forslag til nye tiltak basert på en grundig ROS.